Шифровальщик (вирус-шантажист). Защита от программ-шифровальщиков. Как удалить вирус-шифровальщик?
Шифровальщики — это вредоносные программы, которые шифруют файлы и требуют выкуп за их расшифровку.
Данный сайт — это ДАЙДЖЕСТ и ПЕРВОИСТОЧНИК информации о шифровальщиках и всевозможных вымогателях.
Авторские статьи, инструкции для пострадавших, рекомендации по защите и профилактике угрозы Ransomware.
- Главная
- Введение
- Новости
- Список
- ID Ransomware
- Глоссарий
- Генеалогия
- О блоге
- Онлайн-заявление
- Free HELP!
- Руководство для пострадавшего
- Способы защиты
- Комплекс защиты
- Лучшие методы защиты
- Ransomware FAQ
- Как удалить Ransomware?
- Дешифровщики
- Anti-Ransomware
- Заказ тест-расшифровки
- Помощь сайту
- Вам нужна помощь?
- Условия использования
- Контакт
- Drive-by Downloads
- Пять мифов о безопасности Windows
- Freeware и майнинг
- Отправить файл на анализ
- Условия оправдания и реабилитации
- Защита организации от Ransomware
- Анализ затрат-потерь от RW
- Защита удаленной работы от RW
- Защита RDP от RW
- Защита бэкапов от RW
четверг, 27 августа 2020 г.
Crypt32
Crypt32 Ransomware
(шифровальщик-вымогатель) (первоисточник)
100% РЕШЕНИЕ ПРОБЛЕМЫ! НЕ ЗАПУСКАЕТСЯ ГТА 5 РП ИЗ-ЗА EASY ANTI-CHEAT RAGE MP
Translation into English
Изображение — логотип статьи
К зашифрованным файлам никакое расширение не добавляется.
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Активность этого крипто-вымогателя пришлась на конец августа 2020 г. Ориентирован на англоязычных и корейских пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: !! YOUR FILES HAS BEEN ENCRYPTED . txt
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также «Основные способы распространения криптовымогателей» на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту.
Удаляем любой неудаляемый файл | Как удалить неудаляемое
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
!! YOUR FILES HAS BEEN ENCRYPTED . txt — название файла с требованием выкупа
.js — разные js-файлы
node.exe — исполняемый файл
32Bit.exe — исполняемый файл
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Для зашифрованных файлов есть дешифровщик Скачать Emsisoft Decrypter для дешифровки >> Прочтите подробную инструкцию перед запуском.
Read to links: Tweet on Twitter + Tweet + myTweet ID Ransomware (ID as Crypt32) Write-up, Topic of Support *
Источник: id-ransomware.blogspot.com
Что за программа crypt32
14 января для сотен миллионов пользователей стало важным днём. В этот день Microsoft прекратила поддержку популярной операционной системы Windows 7. Как выяснилось, это не единственный подарок от софтверного гиганта.
реклама
На вторник намечен выход так называемого First Patch Tuesday для операционной системы Windows 10. Однако, ещё перед тем, как Microsoft объявила о его выходе, в сети появилась информация о новой критической угрозе, которая распространяется на все операционные системы, вышедшие за последние 20 лет. Ошибка содержится в файле crypt32.dll. Как сообщают эксперты, этот файл позволяет злоумышленникам подделывать цифровую подпись вредоносным программам, после чего даже антивирусы воспринимают их как легальное ПО.
Ситуация настолько серьёзная, что её подтвердили даже сотрудники АНБ, которые, как и другие военные ведомства, уже получили исправления. Microsoft настоятельно рекомендует всем пользователям получить это обновление. К сожалению, неясно, получат ли исправления такие устаревшие ОС как Windows ХР и Windows Vista, также как неясно, были ли включены заплатки в последнее обновление для Windows 7.
Источник: overclockers.ru
Криптографический баг Windows продемонстрировали в симуляции атаки
На следующий день после того, как Microsoft обнаружила одну из самых серьёзных уязвимостей за всю историю Windows и выпустила исправление для неё, исследователь Салим Рашид опубликовал в твиттере скриншот с рикроллом. На скриншоте видно, что содержимое сайтов GitHub и Агентства национальной безопасности США заменено на клип Never Gonna Give You Up Рика Эстли. Исследователь сделал это, чтобы продемонстрировать атаку с использованием найденной уязвимости.
Уязвимость в криптографической библиотеке crypt32.dll в Windows, которую назвали CVE-2020-0601, заключается в том, что Windows CryptoAPI (Crypt32.dll) не полностью проверяет сертификаты ECC (криптографии эллиптической кривой). Как пишет ArsTechnica, уязвимые версии Windows проверяют три параметра ECC, пропуская при этом четвёртый, критический.
«Такое поведение равносильно тому, как если бы сотрудник правоохранительных органов проверял чьи-либо документы и убедился, что они правильно описывают рост владельца, его адрес и день рождения, но не замечает, что в документе указан вес в 100 кг, хотя человек весит вдвое меньше», — объясняет ArsTechnica.
Этот недостаток является результатом реализации Microsoft ECC, а не слабостью самих алгоритмов ECC. Злоумышленник может использовать эту уязвимость, чтобы подписать вредоносную программу так, чтобы система приняла файл за легитимный. Уязвимость распространяется на системы Windows 10, а также Windows Server 2016 и Windows Server 2019. Проблема была обнаружена специалистами Агентства национальной безопасности США, которые сообщили о ней Microsoft.
Рашид сообщил в комментарии ArsTechnica, что его эксплойт состоит из 100 строк кода, но его можно сократить до 10 строк, если убрать «несколько полезных трюков». И хотя для использования атаки в реальных условиях существуют ограничения, симуляция показала, что уязвимость действительно серьёзная. С её помощью Рашиду удалось осуществить спуфинг сайтов Github и АНБ США в браузерах Edge и Chrome. А вот браузер Firefox, как отметил исследователь, отказался принимать поддельный сертификат.
«Салим продемонстрировал, что с помощью скрипта вы можете создать сертификат для любого веб-сайта, используя только стандартные настройки для Windows, — заявил Кеннет Уайт, специалист по криптографии и руководитель отдела безопасности в MongoDB. — Это ужасно. Проблема затрагивает VPN-шлюзы, VoIP, то есть практически всё, что использует сетевые коммуникации».
Подробное техническое описание проблемы Кеннет Уайт опубликовал в своём блоге. Также обсуждение уязвимости можно найти в твиттере и на Y Combinator. Кроме того, подобные исследования провела компания Kudelski Security, которая предоставила множество деталей атаки, включая код, который могут использовать другие.
Как заявили в АНБ, «уязвимость ставит Windows под угрозу для широкого спектра атак».
«АНБ оценивает уязвимость как критическую и опасается, что злоумышленники очень быстро поймут, в чём состоит уязвимость и что её использование сделает систему фундаментально уязвимой, а последствия её применения будут серьёзными и широко распространятся. Вероятно, злоумышленники смогут быстро найти инструменты для удалённой эксплуатации найденной ошибки. Своевременная установка патча — единственное известное решение в настоящее время, и оно должно быть в центре внимания всех владельцев сетей».
Как пишет ArsTechnica, CVE-2020-0601, вероятно, не может представлять собой такую же серьёзную угрозу, как CVE-2014-0160, или Heartbleed — ошибка в криптографическом программном обеспечении OpenSSL, которая была выявлена в 2014 году. Эта уязвимость позволяла злоумышленникам красть личные ключи, пароли и другие конфиденциальные данные с сотен тысяч уязвимых сайтов. Также она позволяла несанкционированно читать память на сервере, в том числе для извлечения закрытого ключа сервера. Однако, отмечает издание, CVE-2020-0601 нарушает множество мер безопасности, что делает её одной из самых серьезных уязвимостей за последнее время.
Механизм автоматического обновления Windows, по всей вероятности, уже исправил уязвимость. Кроме того, патчи для различных уязвимых версий системы доступны на сайте Microsoft.
- Информационная безопасность
- Разработка под Windows
- Софт
- Настольные компьютеры
- IT-компании
Источник: habr.com